Естественно, генерировать пароли можно и по мере необходимости, например, на своем домашнем компьютере или ноутбуке с помощью соответствующей утилиты. Но к такому инструменту предъявляются серьезные требования безопасности, поскольку во время генерации вы должны быть уверены, что никто не узнает вашу секретную фразу.

Вы можете настроить вход в систему как исключительно по одноразовым паролям, так и разрешив использование постоянных паролей, предоставив пользователю право выбирать в зависимости от ситуации, как входить в систему. Например, вам может быть удобнее вводить системный пароль при работе из офиса, а «опики» использовать при необходимости зайти на сервер с «чужой» территории.

Для определения возможных способов доступа используется файл /etc/opieaccess. По умолчанию, как только для пользователя появляется запись в /etc/opiekeys, он уже не может пользоваться системным паролем.

Чтобы разрешить вход по обоим паролям, нужно в opieaccess создать запись типа permit для нужных адресов. Например, чтобы разрешить вход под системным паролем из локальной сети, а для внешних соединений оставить только «опики», можно использовать следующую строку:

permit 192.168.0.0 255.255.255.0

# permit 0.0.0.0 0.0.0.0

Закомментированная строка разрешит использование обоих типов паролей с любого адреса. Правило deny позволяет явно запретить использование системного пароля для указанной подсети.

Обратите внимание, что разрешение вводить системные пароли делает возможным использование уже скомпрометированного пароля, сводя на нет преимущества системы OPIE. Единственное, что при этом достигается,– это существенное снижение вероятности раскрыть свой пароль при работе в незащищенном режиме. Поэтому к вопросу раздачи прав следует относиться очень внимательно.

Более тонко процедуру входа в систему можно определить в настройках PAM (см. /etc/pam.d/system и прочие файлы). Нужно заметить, что не все приложения могут работать с одноразовыми паролями. Например, во FreeBSD утилиты login, su, ssh, telnetd поддерживают аутентификацию OPIE, popper – нет (но если вход с системным паролем разрешен, проблем с использованием этой программы не возникает). По умолчанию, если поддержка OPIE каким-то сервисом имеется, в соответствующем файле каталога /etc/pam.d будет присутствовать pam_opie.so.

Попытка аутентификации на FTP-сервере (FreeBSD 5.3, стандартный ftpd) с одноразовым паролем выявила интересную проблему – с помощью клиента ftp вход по «опику» выполнялся нормально, а вот попытка войти под системным паролем (например, с использованием менеджера FAR) завершалась неудачей, хотя настройки позволяли использование системного пароля. Разбор полета показал, что проблема заключается в разрешении имен. Происходило следующее – в процессе установки соединения IP-адрес клиента преобразовывался в доменное имя типа client.domain.provider.ru, которое обрезалось до client.domain, после чего система пыталась определить IP-адрес этого «хоста», чтобы установить права на вход с системным паролем в соответствии с /etc/opieaccess. Это, естественно, не получалось, и возвращалась ошибка «Неизвестный хост client.domain». Если же вход на сервер FTP выполнялся с машины, адрес которой не присутствует в базе DNS, то все работало отлично. Вылечить это удалось добавлением следующей строчки в /etc/resolv.conf: